Las contraseñas, o más generalmente algo que sabes, a menudo son relativamente débiles, porque los usuarios no pueden recordar secretos de alta entropía. Como resultado, las contraseñas (o cualquier cosa que necesite memorizar) usualmente terminan siendo un secreto de baja entropía, lo que permite la búsqueda aleatoria, la búsqueda de diccionarios sin conexión y otros ataques. Si bien es posible crear y recordar una contraseña bastante buena, la experiencia demuestra que los usuarios no lo hacen, y que probablemente no sea razonable esperar que los usuarios lo hagan.
Existe una gran cantidad de investigación académica y experiencia práctica que respalda esta afirmación. Aquí hay algunas referencias de ejemplo:
Además, cualquier secreto que usted conozca puede ser suplantado (es decir, alguien podría ser capaz de hacer una ingeniería social para que lo revele).
Recuerda la declaración clásica:
Los seres humanos son incapaces de almacenar de forma segura y de alta calidad
claves criptográficas, y tienen una velocidad inaceptablemente lenta
y precisión al realizar operaciones criptográficas.
(También son grandes, caros de mantener, difíciles de
Gestionan, y contaminan el medio ambiente. Es asombroso
que estos dispositivos continúen siendo fabricados y desplegados. Pero son lo suficientemente penetrantes que debemos
diseñar nuestros protocolos en torno a sus limitaciones.)
Charlie Kaufman, Radia Perlman, Mike Speciner, Seguridad de redes: comunicación privada en un mundo público .
En este punto, es posible que se esté preguntando: dado que las contraseñas tienen tantos problemas, ¿por qué todavía las usamos? Si es así, te recomiendo que eches un vistazo a esta pregunta: ¿Por qué incluso usamos contraseñas / frases de contraseña junto a la biométrica? .